Malware Mirai – Le botnet d’objets connectés s’agrandit encore

2
136

Alors que le code source du redoutable malware IoT Mirai a été publié en ligne par son auteur, de nouveaux “collaborateurs” ont commencé à ajouter des pièces à l’édifice. Aujourd’hui, une nouvelle version s’en prend aussi aux aux équipements Sierra Wireless…

Le code source de Mirai a été publié sur Internet par son concepteur il y a peu. Rappelons que ce redoutable botnet d’objets connectés (près de 150 000 cameras de surveillance IP) est à l’origine de violentes attaques DDoS (> 1Tbps) ayant impacté l’hébergeur OVH ainsi que le blog du journaliste d’investigation en cybercrime KrebsOnSecurity. Le botnet Bashlite, du même genre, a lui aussi participé à ces récentes cyberattaques.

Aujourd’hui, c’est l’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) qui sonne l’alerte en indiquant qu’un fork du logiciel malveillant a été diffusé, visant cette fois les passerelles cellulaires AirLink du constructeur Sierra Wireless. Le but est d’ajouter ce type d’appareils à la gigantesque armée d’objets connectés déjà intégrés au botnet Mirai.

Sierra Wireless n’a pas tardé à réagir en publiant un communiqué à l’attention de ses utilisateurs, en expliquant avoir détecté plusieurs infections touchant ses équipements LS300, GX400, GX/ES440, GX/ES450 et RV50, en les exhortant de modifier les mots de passe par défaut de l’interface de contrôle ACEmanager des équipements réseaux.

« Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». En utilisant la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle, donc d’attaque.

« Pour l’instant, le meilleur indicateur de la présence du malware est la diffusion de trafic anormal sur TCP en port 23, lorsque le malware scanne le réseau pour trouver d’autres équipements vulnérables. Les utilisateurs peuvent également observer du trafic provenant du centre de commande et contrôle sur le port 48101 ainsi qu’un trafic sortant important si la passerelle infectée participe à une attaque DDoS. »

Actuellement, les estimations de l’envergure du botnet Mirai font état d’au moins 1,2 million d’appareils zombies, chacun pouvant contrôler un parc d’autres appareils, puisque ces passerelles sont notamment utilisées dans les chaines industrielles, les caméras de sécurité, etc. Et le nombre grandit sans cesse, laissant à prévoir d’autres cyberattaques encore plus virulentes à l’avenir… et c’est sans compter la hausse prochaine des botmasters, les gestionnaires de réseaux de machines zombies, étant donné que les sources peuvent être exploitées et déployées pour construire plusieurs réseaux botnets.

L’ICS-CERT précise qu’aucune vulnérabilité logicielle ou matérielle des passerelles n’est exploitée par Mirai, mais qu’il s’agit d’un problème de gestion de configuration. Sierra recommande aux propriétaires des dispositifs cités de redémarrer leur passerelle afin d’éliminer un quelconque logiciel Mirai existant et de changer immédiatement le mot de passe ACEmanager.

Rappelons que le changement de mot de passe par défaut est une priorité absolue lors de l’installation d’un objet connecté ou équipement réseau !

Les commentaires sont fermés.